服务器安全维护工作室 » aws代维

阿里云Docker 镜像服务

admin — Tue, 01 Dec 2015 13:52:58 +0000

专为阿里云GPU物理机定制的深度学习和HPC工具集，在阿里云Docker Hub上发布。

1 阿里云官方Docker Hub地址

http://dev.aliyun.com/search.html

2 新用户

第一次使用阿里云Docker服务，用户需要先注册成为开发者，步骤如下：

打开上面的阿里云Docker Hub，未登陆的，先使用云账号登录，登录/注册在左上角；点击右上角“管理中心”，如下图：

对新用户会弹出去注册开发者的页面：

注册成功之后，点击“进入管理控制台”，下次进入也可以在Docker Hub页面，点击右上角“管理中心”进入。界面如下：

选择左侧的“Docker服务”下面的“镜像管理”标签，新用户会提示设置自己的镜像仓库“命名空间”和密码。命名空间是私人镜像的地址前缀。完成设置之后，可以开始使用阿里云Docker仓库。

3 使用 Docker

3.1 docker 仓库地址

阿里云官方docker仓库地址为：

registry.aliyuncs.com（公网)

在GPU物理机上，对应替换为内网地址：

registry-internal.aliyuncs.com（内网）

3.2 运行 Hello World

（GPU物理机预装CentOS 7系统，以下操作仅以CentOS 7为例，且使用root用户）首先检查机器上安装的docker服务状态：

# docker info

正常会显示当前存储空间等信息。如果出错，请先尝试重启docker服务：

# systemctl restart docker

下一步，使用阿里云账号和之前设定的docker仓库密码，登录阿里云docker仓库：

# docker login registry-internal.aliyuncs.com

运行 Hello World：

# docker run registry-internal.aliyuncs.com/alicloudhpc/hello-world

如果一切正常，说明机器的docker服务运行正常。

3.3 使用深度学习和HPC工具集

工具集的发布地址是：

http://dev.aliyun.com/detail.html?repoId=2

列出了包含的软件工具和简介。

登录之后，可以下载toolkit的镜像到本地：

# docker pull registry-internal.aliyuncs.com/alicloudhpc/toolkit

重命名一个短名称：

# docker tag registry-internal.aliyuncs.com/alicloudhpc/toolkit toolkit

因为需要在docker容器中使用gpu设备，启动docker容器需要设定额外参数。推荐将如下内容保存到一个shell脚本（比如run-toolkit.sh），方便以后运行：

#!/bin/bash
DOCKER_BIN="/usr/bin/docker"
INTERACT="-ti"
#INTERACT="-d"
DATA_VOLUME="/disk1"
DATA_MOUNT_POINT="/disk1"
MEM_LIMIT=96g

set -e
if [ $# -lt 2 ]; then
    echo "Usage: $0 image command"
    exit -1
else
    IMAGE=$1
    shift 1
    CMD=$@
fi

devices=$(ls -1 /dev | grep nvidia)
dev_param=""
for d in $devices; do
    dev_param="$dev_param --device=/dev/$d"
done

time_param='-v /etc/localtime:/etc/localtime:ro'

if [ ! -z "$CUDA_VISIBLE_DEVICES" ]; then
    dev_env="-e CUDA_VISIBLE_DEVICES=$CUDA_VISIBLE_DEVICES"
else
    dev_env=""
fi

exec $DOCKER_BIN run \
        "$INTERACT" \
        -P \
        $dev_env \
        $dev_param \
        $time_param \
        -m $MEM_LIMIT \
        -v $DATA_VOLUME:$DATA_MOUNT_POINT \
        "$IMAGE" \
        $CMD

运行脚本，启动toolkit：

# chmod +x run-toolkit.sh
# ./run-toolkit.sh  toolkit  /bin/bash

成功运行之后，已经进入交互式的docker容器（理解为一个与host隔离的运行环境）中，物理机上的 /disk1 磁盘映射到容器内的 /disk1 文件夹，建议数据只存储到 /disk1 下（如果容器销毁，其他数据不会保留）。

检查GPU工作正常：

# /usr/local/cuda/samples/1_Utilities/deviceQuery/deviceQuery

检查通过以后，您可以像普通终端一样，运行软件。

3.4 重新进入

在交互式docker容器中，如果您运行 exit，退出docker容器之后，该容器即停止。如果您在容器中修改了 /disk1 以外的内容（比如安装软件），下次还需要继续使用，则不应该运行 run-toolkit.sh 新建容器，而是重启原先的，操作如下：

查询已经停止的容器id：

# docker ps -a

返回结果中，复制下需要重启的容器的 container_id

重启容器：

# docker start container_id

成功则返回一串重复的id

重新进入交互式docker容器：

# docker attatch container_id

4. 使用进阶

4.1 获得更新

如果toolkit发布新的版本，可以重新pull获得更新：

# docker pull registry-internal.aliyuncs.com/alicloudhpc/toolkit

重命名一个短名称：

# docker tag registry-internal.aliyuncs.com/alicloudhpc/toolkit toolkit

4.2 创建私有镜像

访问阿里云docker控制台：

http://console.d.aliyun.com/index2.html/?#/docker/image/list

可以创建自己的私有镜像（选择本地仓库）。

使用和创建本地镜像的方法，可以参考docker官方文档相关部分：

http://docs.docker.com/userguide/dockerimages

另外有一份中文教程：http://www.docker.org.cn/book/docker.html （有些过时）注意内网环境下，添加或者替换docker仓库的域名。

本地镜像创建完成后，通过docker push上传到阿里云docker仓库：

# docker tag some-image registry-internal.aliyuncs.com/YOUR_NAMESPCE/YOUR_REPO
# docker push registry-internal.aliyuncs.com/YOUR_NAMESPCE/YOUR_REPO

阿里云Docker 镜像服务，首发于服务器安全维护工作室。

对比linux负载均衡haproxy，slb以及node-slb

admin — Sat, 15 Aug 2015 04:57:19 +0000

今天遇到一客户的线上环境是阿里云，使用的是阿里云有SLB，但客户想自己做负载器，，本文试图以haproxy来解释一下slb的原理

讲解haproxy的目的是介绍负载算法，便于理解SLB，最后给出node-slb解决方案

目前比较流行的

目前，在线上环境中应用较多的负载均衡器硬件有F5 BIG-IP,软件有LVS，Nginx及HAProxy,高可用软件有Heartbeat. Keepalived

成熟的架构有

LVS+Keepalived
Nginx+Keepalived
HAProxy+keepalived
DRBD+Heartbeat

HAProxy

优点

HAProxy是支持虚拟主机的，可以工作在4. 7层(支持多网段)；
能够补充Nginx的一些缺点比如Session的保持，Cookie的引导等工作；
支持url检测后端的服务器；
它跟LVS一样，本身仅仅就只是一款负载均衡软件；单纯从效率上来讲HAProxy更会比Nginx有更出色的负载均衡速度，在并发处理上也是优于Nginx的；
HAProxy可以对Mysql读进行负载均衡，对后端的MySQL节点进行检测和负载均衡，不过在后端的MySQL slaves数量超过10台时性能不如LVS；
HAProxy的算法较多，达到8种；

官网 http://www.haproxy.org/ (自备梯子)

我觉得它是所有负载软件里最简单最好用的。配置文件比nginx还简单，而且还有监控页面。

解压

tar -zxvf haproxy-1.5.12.tar.gz

切换到目录

cd haproxy-1.5.12

打开readme看一下，如何安装

make TARGET=linux26
sudo make install

创建一个配置文件

# Simple configuration for an HTTP proxy listening on port 80 on all
# interfaces and forwarding requests to a single backend "servers" with a
# single server "server1" listening on 127.0.0.1:8000
global
    daemon
    maxconn 256

defaults
    mode http
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

frontend http-in
    bind *:80
    default_backend servers

backend servers
    server server1 127.0.0.1:8000 maxconn 32


# The same configuration defined with a single listen block. Shorter but
# less expressive, especially in HTTP mode.
global
    daemon
    maxconn 256

defaults
    mode http
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

listen http-in
    bind *:80
    server server1 127.0.0.1:8000 maxconn 32

启动

haproxy -f test.cfg

查看状态

记得在配置文件里加上

listen admin_stats
    bind 0.0.0.0:8888
    stats refresh 30s
    stats uri /stats
    stats realm Haproxy Manager
    stats auth admin:admin
    #stats hide-version

http://ip:8888/stats

负载均衡–调度算法

HAProxy的算法有如下8种：

roundrobin，表示简单的轮询，这个不多说，这个是负载均衡基本都具备的；
static-rr，表示根据权重，建议关注；
leastconn，表示最少连接者先处理，建议关注；
source，表示根据请求源IP，建议关注；
uri，表示根据请求的URI；
url_param，表示根据请求的URl参数’balance url_param’ requires an URL parameter name
hdr(name)，表示根据HTTP请求头来锁定每一次HTTP请求；
rdp-cookie(name)，表示根据据cookie(name)来锁定并哈希每一次TCP请求。

SLB是神马

负载均衡（Server Load Balancer，简称SLB）是对多台云服务器进行流量分发的负载均衡服务。SLB可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性

SLB是如何实现的

使用tengine实现的。

Tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上，针对大访问量网站的需求，添加了很多高级功能和特性。

see http://tengine.taobao.org/

SLB用法

创建slb

点击管理按钮，进入实例详情

没啥需要改的，我们直接看服务监听功能，看看如何配置slb

配置端口
转发规则
带宽
健康检查等

点击编辑按钮，此时可以看到具体配置页面

目前slb支持2种转发规则

轮询
最小连接数

轮询应该是和haproxy的roundrobin调度算法一样，表示简单的轮询

最小连接数SLB会自动判断当前ECS 的established 来判断是否转发

配置完了slb server，下一步要设置具体slb把请求转发给哪台机器，这实际上才是最核心的的配置。

阿里云把这件事儿做的超级简单

假设我现在有一个ecs服务器为已填加

点击【未添加的服务器】，此时会列出未加入负载池的ecs服务器

选中一台服务器

点击批量添加

配置一下权重，如果机器性能一样就配置权重一样，性能越好，权重越大

可选值【0 – 100】

完成配置后，已添加服务器里就有了2台服务器

保证你的服务器都启动，比如2台服务器的80端口都正常即可

此时你需要做的是把你的域名解析到slb服务器的ip地址上

node-slb

an expressjs middleware for aliyun slb

缘起

http://bbs.aliyun.com/read/188736.html?page=1

2）请问健康检查发的什么请求？ head 还是 get？ head请求。

如果express路由没有处理head请求的话，会触发其他路由，可能会出现请求重定向死循环

原理

var debug = require('debug')('slb');

module.exports = function (req, res, next) {
  if(req.method.toLowerCase() == 'head'){    
    debug('[ALIYUN.COM LOG]: SLB health checking....OK...');
    return res.sendStatus(200);
  }

  next();
};

原理非常简单：以中间件的形式，处理一下req.method为head的适合，终止此请求即可

安装

npm install --save node-slb

用法

var slb = require('node-slb');

var app = express();
app.user(slb);

测试

首先启动demo的服务

➜  node-slb git:(master) ✗ npm start

> node-slb@1.0.0 start /Users/sang/workspace/github/node-slb
> cd demo && npm install && npm start


> url@0.0.0 start /Users/sang/workspace/github/node-slb/demo
> node ./bin/www

执行test命令，测试请求

➜  node-slb git:(master) ✗ npm test

> node-slb@1.0.0 test /Users/sang/workspace/github/node-slb
> curl -i -X HEAD http://127.0.0.1:3000

HTTP/1.1 200 OK
X-Powered-By: Express
Content-Type: text/plain; charset=utf-8
Content-Length: 2
ETag: W/"2-d736d92d"
Date: Mon, 29 Jun 2015 03:46:49 GMT
Connection: keep-alive

此时，观察服务器日志

➜  node-slb git:(master) ✗ npm start

> node-slb@1.0.0 start /Users/sang/workspace/github/node-slb
> cd demo && npm install && npm start


> url@0.0.0 start /Users/sang/workspace/github/node-slb/demo
> DEBUG=slb node ./bin/www

[ALIYUN.COM LOG]: SLB health checking....OK...

如果出现[ALIYUN.COM LOG]: SLB health checking....OK...说明正常。

如果想打印日志，可以DEBUG=slb，如果不想打印日志，默认即无。

总结

首先介绍了haproxy和负载均衡算法
介绍了阿里云slb用法
给出node-slb，一个express中间件

对比linux负载均衡haproxy，slb以及node-slb，首发于服务器安全维护工作室。

解决Centos5/6 ip_conntrack: table full, dropping packet

admin — Sat, 15 Aug 2015 04:35:12 +0000

linux中会有一个模块用于跟踪IP的连接情况 ip_conntrack，但是这个表的容量是有限制的，一般情况下和内存有关。

当链接过多的时候系统就会报错ip_conntrack: table full, dropping packet，可以修改/proc/sys/net/ipv4/netfilter/ip_conntrack_max；

有时候会发现/proc下没有这个目录，这时候是由于这个模块挂载有问题，而RH5和RH6下模块名也不一样

可修改/etc/sysctl.conf 然后sysctl -p生效。

RH6系列

modprobe nf_conntrack

net.nf_conntrack_max = 655360

net.netfilter.nf_conntrack_tcp_timeout_established = 36000

RH5系列

modprobe ip_conntrack

net.ipv4.ip_conntrack_max = 655350

在内核内存中netfilter可以同时处理的“任务”（连接跟踪条目）
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 10800
跟踪的连接超时结束时间

解决Centos5/6 ip_conntrack: table full, dropping packet，首发于服务器安全维护工作室。

使用key登陆管理linux服务器/免密码登陆linux服务器

admin — Sat, 15 Aug 2015 04:33:08 +0000

ssh除了密码验证外，还有一种比较常用的验证方式：key；他的好处除了安全外，还可以实现linux之间的免密码登陆，方便管理或者批量维护。

本文介绍一下windows/linux下如何配置key免密码登陆linux服务器

01
[root@A ~]# ssh-keygen -t rsa

02

03
Generating public/private rsa key pair.

04

05
Enter file in which to save the key (/root/.ssh/id_rsa):

06
//key保存的路径和文件名

07

08
Enter passphrase (empty for no passphrase):

09

10
//key的密码，免密码登陆的话留空

11

12
Enter same passphrase again:

13

14
Your identification has been saved in /root/.ssh/id_rsa

15

16
//生成了私钥/root.ssh/id_rsa

17

18
Your public key has been saved in /root/.ssh/id_rsa.pub

19

20
//生成了公钥 /root/.ssh/id_rsa.pub

21

22
The key fingerprint is:

23

24
82:8c:2c:52:06:c6:f3:c4:1c:1c:35:b7:cd:5b:42:a2 root@A

25

26
[root@A ~]# ls /root/.ssh/ //查看一下目录，已经有了这两个文件

27

28
authorized_keys id_rsa id_rsa.pub known_hosts

29

30
[root@A ~]#

查看一下服务器ssh服务公钥存放的路径

1
[root@A ~]# cat /etc/ssh/sshd_config |grep AuthorizedKeysFile

2

3
#AuthorizedKeysFile .ssh/authorized_keys

默认服务器保存公钥的位置是.ssh/AuthorizedKeysFile

所以需要将生成的公钥文件通过scp或者任何方法拷贝到你需要远程登录的服务器的这个文件中

01
[root@B ~]# cd .ssh/

02

03
[root@B .ssh]# cat id_rsa.pub >authorized_keys

04

05
//服务器本地ssh客户端默认读取的私钥路径已经包含了/.ssh/id_rsa

06

07
[root@A .ssh]# cat /etc/ssh/ssh_config |grep IdentityFile

08

09
# IdentityFile ~/.ssh/identity

10

11
# IdentityFile ~/.ssh/id_rsa

12

13
# IdentityFile ~/.ssh/id_dsa

至此你可以直接从A 执行命令ssh ipB

登录到服务器B了，就这么简单。

有一种简单的方法：使用命令ssh-copy-id 直接将本机的key加入到对方服务器的验证文件中

01
[root@A .ssh]# ssh-copy-id

02

03
Usage: /usr/bin/ssh-copy-id [-i [identity_file]] [user@]machine

04

05
[root@A .ssh]# ssh-copy-id -i /root/.ssh/id_rsa root@ipB

06

07
The authenticity of host 'ipB (ipB)' can't be established.

08

09
RSA key fingerprint is 17:21:32:02:da:3b:a1:d1:a2:69:12:36:a2:d7:59:ad.

10

11
Are you sure you want to continue connecting (yes/no)? yes

12

13
root@ipB's password:

14

15
Now try logging into the machine, with "ssh 'root@ipB'", and check in:

16

17
.ssh/authorized_keys

18

19
[root@A ~]# ssh ipB

20

21
Last login: Sun Dec 15 19:33:07 2013 from ipA

22

23
[root@B ~]#

这样执行之后，就可以直接登陆服务器了。

上面都是通过linux的ssh客户端来连接，如果通过本地来使用key登陆的话方法大同小异；

将私钥id_rsa下载到本地，然后导入到客户端的密钥认证配置的地方即可；

以SecureCRT为例，配置位置如下图选择下载下来的私钥文件即可。

使用key登陆管理linux服务器/免密码登陆linux服务器，首发于服务器安全维护工作室。

如何限制通过固定的IP访问阿里云OSS的文件

admin — Sat, 15 Aug 2015 04:19:19 +0000

最近有客户提出需求，在某些情况，需要使用OSS来存大量文件，但是请求这些文件时候需要访问固定的IP（比如程序之前写死了IP，比如和运营商谈免流量的问题，公司跳板机，固定公司ip访问限制）

通过查看阿里云服务器手册发现oss的服务是由多个IP的，并且随时可能变化，因此如果要实现这个功能，这时候可以通过ECS搭建反向代理来实现需求

nginx配置如下：

server {
listen 80 default_server;
server_name _;
location / {
proxy_pass http://xxx.oss-cn-qingdao-internal.aliyuncs.com/;
proxy_set_header Referer http://www.test.com;
}
}

这里通过ECS代理OSS的内网，从而省掉了OSS的流量费，但是访问效率需要依赖ECS的带宽

为了安全，OSS配置了refer限制，也可以通过proxy_set_header来代理发送一个refer，这个refer可以设置一个随意别人不知道的值，能够变相实现加密（只有ECS服务器知道这个refer值）

配置完毕之后，就可以通过访问ECS来访问到OSS上的文件了，比如：

如何限制通过固定的IP访问阿里云OSS的文件，首发于服务器安全维护工作室。